Taller práctico para el

cumplimiento de la Ley

de Protección de Datos

XandruSoft & Smart Data Protection

@xandrucancelas

(CEO de XandruSoft e Ingeniero de seguridad informática)

Ley Orgánica 15/1999, de 13 de diciembre,

de Protección de Datos de carácter personal

La presente Ley Orgánica tiene por objeto garantizar y proteger, en lo que

concierne al tratamiento de los datos personales, las libertades públicas y los

derechos fundamentales de las personas físicas, y especialmente de su honor

e intimidad personal y familiar.

Calidad de los datos

El principio de calidad de los datos, ligado al principio de proporcionalidad de

los su recogida. datos, exige que los mismos sean adecuados a la finalidad que

motiva.

Los datos beben ser exactos

Deben ser almacenados de forma que permitan el ejercicio del derecho de

acceso

Se prohíbe la recogida de datos por medios fraudulentos, desleales o ilícitos

Fuente:

https://www.agpd.es/portalwebAGPD/canalresponsable/obligaciones/calidad_d

e_datos/index-ides-idphp.php

Deber de información

Informar a los interesados de la gestión de datos que se realiza y de sus

derechos.

Mostrar estas advertencias de forma claramente legible, si se utilizan

cuestionarios u otros impresos para la recogida

Fuente:

https://www.agpd.es/portalwebAGPD/canalresponsable/obligaciones/deber_inf

ormacion/index-ides-idphp.php

Tratamiento

Como regla general, la inclusión de datos de carácter personal en un fichero

supondrá un tratamiento de datos de carácter personal, que requerirá, en

principio, el consentimiento del afectado.

Fuente:

https://www.agpd.es/portalwebAGPD/canalresponsable/obligaciones/tratamient

o_cesion/cesion/index-ides-idphp.php

Cesión

Los datos de carácter personal objeto del tratamiento sólo podrán ser

comunicados a un tercero para el cumplimiento de fines directamente

relacionados con las funciones legítimas del cedente y del cesionario con el

previo consentimiento del interesado

Fuente:

https://www.agpd.es/portalwebAGPD/canalresponsable/obligaciones/tratamient

o_cesion/cesion/index-ides-idphp.php

Deber de colaboración con la agencia

Responder a sus solicitudes

Fuente:

https://www.agpd.es/portalwebAGPD/canalresponsable/obligaciones/deber_col

aboracion/index-ides-idphp.php

Deber de guardar secreto

Se exige a quienes intervengan en cualquier fase del tratamiento de los datos

a guardar secreto profesional sobre los datos, subsistiendo la obligación aún

después de finalizar su relación con el responsable del fichero.

Fuente:

https://www.agpd.es/portalwebAGPD/canalresponsable/obligaciones/deber_gua

rdar_secreto/index-ides-idphp.php

Atención a los derechos de los

ciudadanos

Derecho de acceso

Derecho de rectificación

Derecho de cancelación

Fuente:

https://www.agpd.es/portalwebAGPD/canalresponsable/obligaciones/atencion_

derechos_ciudadanos/index-ides-idphp.php

Inscripción de ficheros

Siempre que se proceda al tratamiento de datos personales, definidos en el art. 3,a) de la Ley Orgánica 15/1999, como "cualquier información concerniente a personas físicas identificadas o identificables," que suponga la inclusión de dichos datos en un fichero, considerado por la propia norma (artículo 3.b).), como "conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso," el fichero se encontrará sometido a la Ley, siendo obligatoria su inscripción en el Registro General de Protección de Datos, conforme dispone el artículo 26.

Fuente:

https://www.agpd.es/portalwebAGPD/canalresponsable/obligaciones/inscripcion_ficheros/index-ides-idphp.php

Medidas de seguridad

Adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.

No se registrarán datos de carácter personal en ficheros que no reúnan las condiciones que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas.

Reglamentariamente se establecerán los requisitos y condiciones que deban reunir los ficheros y las personas que intervengan en el tratamiento de los datos

Fuente:

https://www.agpd.es/portalwebAGPD/canalresponsable/obligaciones/medidas_seguridad/index-ides-idphp.php

Hola, soy Tu Amigo

Xandrusoft y estoy

aquí para ayudarte

¿Qué sanciones me pueden incurrir?

Leves: de 900 a 40.000

Graves: de 40,001 a 300,000

Muy graves: de 300,001 a 600,000

La AEPD se autofinanza y ha endurecido las

sanciones y los controles en los últimos tiempos

¿Qué medidas he de cumplir?

Envío de ficheros

Generación de documentos (actualizados)

Información (P. Privacidad, Aviso Legal y LSSI)

Derechos ARCO

Medidas técnicas

La AEPD establece una serie de medidas para

adecuarse a la LOPD (Ley de Protección de Datos)

¿Quién es el responsable de los datos?

Toma decisiones sobre el tratamiento y uso

Un empleado de la compañía

Recomendable con conocimientos de

seguridad

Lo más común es que sea el responsable de

seguridad de la empresa

¿Quién es el encargado de los datos?

Lo hace por cuenta del responsable

La propia compañía

Terceros con acceso a los datos (ej gestoría)

Persona física o jurídica que trata los datos

¿Cómo envío los ficheros?

En papel, en la propia agencia

Por internet, sin certificado digital

Por internet, con certificado digital

Existen distintas posibilidades para el envío, la

agencia nos lo pone fácil

¿Qué ha de contener el documento de

seguridad?

Responsable de seguridad

Encargado del tratamiento

Quién y qué tipo de acceso tiene a los datos

Incidencias

Registro de soportes, así como E/S

………

En el documento de seguridad quedara reflejado

todo lo relacionado a la gestión de datos

personales por parte de la empresa

¿Para cumplir con los derechos de

acceso?

Un mes para responder

Se ha de responder a todos por el mismo

medio

Siempre se debe responder a las solicitudes

¿Qué medidas técnicas?

Backups periódicos

Datos cifrados

Cambio de contraseñas

Envío por canales seguros

Registro de accesos

En principio, aquellas acordes al nivel de

seguridad de los datos que almacenamos

¿Y en mi página web?

Formularios sólo con los datos imprescindibles

Aviso legal y política de privacidad

LSSI

Aviso de cookies si se dispone de ellas

El usuario es nuestro cliente, quien comprará

nuestros productos, por ello debemos atenderle de

la mejor forma posible, haciéndole sentir tranquilo

No es un gasto,

es una inversión!

Smart Data Protection

Sobre XandruSoft

Mobile first Responsive design Desarrollo Agil

Somos partners de

159€/año

Smart Data Protection

Más info: http://smartdataprotection.eu

Muchas gracias!

@xandrucancelas

@sdataprotection

@xandrusoft